情報セキュリティやIT運用、テクノロジーに関する最新の動向、
弊社商品の情報などをご紹介するサイト

Sky株式会社

公開日2024.09.06更新日2024.09.30

サイバー攻撃とは? 種類、対策方法、傾向についてわかりやすく解説

著者:Sky株式会社

サイバー攻撃とは? 種類、対策方法、傾向についてわかりやすく解説

近年、IT技術の急速な発展により、個人でインターネットを活用する機会が増加したほか、組織や企業の利用するシステム環境も多様化しています。それに伴い、情報や金銭の窃取を目的とするサイバー攻撃の被害も拡大しており、大企業などに限らず、誰もが攻撃の対象になり得る状況になっています。 この記事では、複雑化・巧妙化しているサイバー攻撃の手口や種類についてわかりやすく解説。被害に遭うリスクを軽減するのに効果的な対策も併せてご紹介します。

サイバー攻撃とは

サイバー攻撃とは、サーバーやPC、スマートフォンなどに対し、インターネットを通じてシステムの破壊やデータの窃取、改ざんなどをする行為です。近年はデジタル機器が急速に普及し、企業や個人がインターネットを活用する機会も増えたため、サイバー攻撃の被害に遭うリスクが拡大しています。

また、IT技術の発展に伴いサイバー攻撃の手口は日々複雑化・巧妙化しています。対策も難しくなってきており、世界中でサイバー攻撃の被害報告が後を絶たない状況が続いています。

サイバー攻撃の目的

サイバー攻撃の目的は攻撃者によってさまざまですが、最も多いのは金銭目的の攻撃です。盗んだ情報を売ったり、情報と引き換えに被害者に金銭を要求したりするケースが見られます。

また、かつてはWebサイトへの不正ログインやWebページの改ざんなど、自身のスキルを誇示するためにサイバー攻撃を仕掛ける愉快犯も多く見られました。

そのほか、組織・企業や国家から機密情報を盗むことを目的としたものや、組織・企業の営業妨害やイメージダウンを狙ったもの、同じ思想や主義に基づく犯罪集団が社会的・政治的な主張をするためのものなど、サイバー攻撃の目的は多岐にわたっています。

近年のサイバー攻撃の傾向

近年、IT技術の発達で組織や企業の利用するシステム環境が多様化したことや、社外から社内システムへアクセスするテレワーク環境が整備されたことなどに伴い、サイバー攻撃の手法も複雑化・巧妙化しています。

IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威2024[組織編]」では、セキュリティ脅威としてランサムウェアによる被害が1位に選出されています。具体的な事例として、リモート接続機器の脆弱性を悪用し不正アクセスされたケースや、VPN経由で攻撃者が侵入したケースなどが挙げられており、さまざまな侵入経路への徹底したセキュリティ対策を呼びかけています。

また、中小企業など、セキュリティ対策が強固ではない組織へのサイバー攻撃を足がかりに、 大企業の機密情報を窃取するサプライチェーン攻撃なども発生しており、深刻な情報漏洩につながってしまったケースも少なくありません。

こうした状況から、サイバー攻撃による被害規模も年々大きくなっています。FBIによると、世界におけるサイバー攻撃の被害金額は、2023年に約1兆9300億円(125億ドル / 1ドル155円換算)を超え、2021年の2倍近くに膨れ上がりました。一方、被害報告件数は2021年が84万件だったのに対し、2023年は88万件と3.8%ほどしか増加しておらず、一件あたりの被害が大幅に高額化していることが伺えます。

参考:FBI「Internet Crime Report 2023

日本のサイバー攻撃の現状

サイバー攻撃の被害は日本国内でも増加傾向にあります。警察庁によると、サイバー犯罪(コンピュータ・電磁的記録対象犯罪)の検挙件数は、2020年は563件だったのに対し、2023年は1000件にまで増加しています。

特に2023年は、フィッシングなどに伴う被害が増加しており、フィッシングの報告件数は119万6390件と過去最多になりました。また、クレジットカードの不正利用被害額が401.9億円、インターネットバンキングに係る不正送金の被害総額が87.3億円と、どちらも過去最多を記録しています。そのほか、ランサムウェアによる被害件数も197件と高い水準で推移するなど、深刻な状況が続いています。

サイバー攻撃の種類

サイバー攻撃の種類や手口はさまざまで、組織や企業を狙うものもあれば、個人を狙うものもあります。また、不特定多数に対し無差別に攻撃を仕掛けるものも少なくありません。多様化するサイバー攻撃への対策を講じるためには、攻撃の種類や手口をしっかり把握しておくことが重要です。

ここでは、サイバー攻撃の種類について代表的なものをいくつかご紹介します。

標的型攻撃

標的型攻撃とは、特定の組織・企業や個人などを狙ったサイバー攻撃です。攻撃対象の情報を調べ、知人や取引先などの関係者になりすましてマルウェアを仕込んだメールを送付するといった手口がみられます。うっかりメールに添付されているファイルを開くと、PCやスマートフォンがマルウェアに感染してしまい、情報漏洩や金銭の詐取といった被害につながる危険性があります。

マルウェアによっては、感染後も異常が発覚しにくく、数週間から数ヶ月にわたって情報を外部に送信し続けてしまうものもあるため、被害規模が大きくなりやすいという特徴があります。

ランサムウェアによる攻撃

ランサムウェアとは、端末内のデータを勝手に暗号化し、データの復号と引き換えに身代金を要求してくるマルウェアの一種です。また、データの暗号化にとどまらず、盗んだデータを外部に漏洩させると脅迫して金銭を要求する二重の脅迫(ダブルエクストーション)と呼ばれる手口も確認されています。

ランサムウェアによる攻撃を受けた場合、金銭を支払ったとしてもデータが元通りに復号されるという保証はありません。むしろ、脅迫をすれば金銭を支払う組織とみなされ、攻撃がエスカレートする危険性もあるため、対応には注意が必要です。

Emotetによる攻撃

Emotet(エモテット)は、主にメールを介して感染するマルウェアで、WordやExcelなどの添付ファイルに仕込まれています。ファイルには、マクロの実行を促す文面が記載されており、それに気づかず「コンテンツの有効化」をクリックすると、マクロが起動してEmotetに感染する仕組みです。

Emotetに感染すると、端末内のデータを盗まれるだけでなく、ほかのマルウェアやランサムウェアに感染しやすい状態になります。また、Emotetに感染した端末から送信されたメールにはすでにEmotetが仕込まれている可能性があるため、ほかの組織への攻撃の踏み台にされてしまう危険性もあります。

Emotetは、2019年から2020年にかけて多くの組織・企業が被害を受け、その後一度は沈静化しましたが、現在も活動の再開と休止を繰り返しているため、引き続き警戒が必要です。

サプライチェーン攻撃

サプライチェーン攻撃とは、組織同士のつながり(サプライチェーン)を悪用するのが特徴のサイバー攻撃です。

一般的に、サプライチェーンの上流にあたる大企業などは、強固なセキュリティ対策が施されていることが多く、攻撃者にとって侵入が困難です。そのため、大企業などをターゲットにする際に、業務上のつながりがある関連企業など、セキュリティ対策が比較的に強固ではない組織にサイバー攻撃を仕掛け、それを足がかりにしてターゲット企業への攻撃を試みるという手口です。

大規模なサプライチェーンを抱えている企業は、自社だけでなく、サプライチェーン全体のセキュリティ対策を講じる必要に迫られています。

ビジネスメール攻撃

ビジネスメール詐欺とは、攻撃者が自社の経営層や取引先の担当者などになりすましてメールを送付し、うその送金取引で従業員から金銭をだまし取るサイバー攻撃です。

攻撃者は、事前にターゲット企業の業務メールを傍受したり、SNSを確認したりすることで情報収集しており、偽装メールの文面から詐欺と見抜くのは難しいケースが多くなっています。また、盗んだメールアカウントを悪用し、正規のアカウントから偽装メールを送信してくる事例も見られるなど、手口が年々巧妙化しています。

組織の従業員全員が手口をしっかり把握し、アカウント情報の適切な管理や、メールアドレス・本文の丁寧な確認など、適切な対策を講じることが重要です。

フィッシング詐欺

フィッシング攻撃とは、偽のWebサイトなどを経由して被害者の個人情報などを詐取する サイバー攻撃です。一般的には、銀行や金融機関、実在する企業などを装ったメールを送信し、正規のサービスと見分けがつきにくい偽のWebサイトへ誘導することで、ユーザーIDやパスワード、クレジットカード情報などを盗む手口が多いです。

これまでフィッシング攻撃は、不特定多数を対象とするサイバー攻撃とされてきましたが、近年では特定の攻撃対象に標的を絞ったスピアフィッシングと呼ばれる手口も横行しています。また、スマートフォンなどのショートメッセージサービス(SMS)を利用して悪意あるWebサイトへ誘導するスミッシングと呼ばれる手口も増加しています。

ゼロクリック詐欺

ゼロクリック詐欺とは、ユーザーがWebサイトを閲覧した際、そのほかの操作は一切していないにも関わらず、金銭を不当に要求してくるサイバー攻撃です。一般的には、スマートフォンやPCでWebサイトを開いた直後に、「料金をお振り込みください」「登録が完了しました」などのメッセージが突然表示され、支払いを請求してくる手口が多いです。

表示されるメッセージには電話番号が記載されていることもありますが、もしその番号に電話をかけてしまうと、その後、電話でしつこく金銭の支払いを要求される危険性もあります。実際には、Webサイトにアクセスしただけで利用料金が発生することはまずないため、メッセージが表示されたとしても無視をしてしまって問題ありません。

ジュースジャッキング攻撃

ジュースジャッキング攻撃とは、ホテルやカフェ、空港など公共の場所にあるUSBポートやUSBケーブルを悪用したサイバー攻撃です。悪意のある攻撃者がUSBポートに専用部品を埋め込むなどの細工をし、それを接続すると端末がマルウェアに感染する仕組みで、データを盗まれたり端末が遠隔操作されたりしてしまう危険性があります。

ジュースジャッキング攻撃は、特に旅行中など、外出先で充電が必要になる状況で被害に遭うリスクが高くなります。細工されたUSBポートやケーブルは、一見すると普通のものと変わらず、気づかないうちに被害に遭ってしまう可能性もあるため、自身の充電器や充電ケーブルを持ち歩くなどの対策が必要です。

DoS・DDoS攻撃

Dos攻撃とは、標的となるサーバーに一つの端末から大量のデータを送りつけるサイバー攻撃です。サーバーに負荷を掛けることで、Webサイトのアクセス障害やサービス停止など、システムダウンに追い込むことを目的としています。

また、Dos攻撃を複数の端末から同時に仕掛ける攻撃はDDos攻撃と呼ばれています。Dos攻撃の場合は、同じIPアドレスから送られてくるデータをブロックすることで被害を食い止めることができます。しかし、DDOs攻撃の場合は、多数のIPアドレスからデータが送られてくるため、Dos攻撃に比べて対処が困難です。また、攻撃に使用される複数の端末は、第三者のPCを悪用したものである可能性が高く、攻撃者を特定するのが難しいという特徴もあります。

F5アタック

F5アタックとは、先述したDos攻撃の一種で、Webサイトに対して大量のリロード(再読み込み)を繰り返すことにより、サーバーに負荷を掛ける攻撃です。この名称は、ページの更新を行う「F5キー」を連続して押すことに由来しています。

パスワードリスト攻撃

パスワードリスト攻撃とは、攻撃者が何らかの方法で手に入れた「ユーザーIDとパスワードの組み合わせ」のリストを利用し、さまざまなシステムやサービスへの不正ログインを試みる攻撃です。

この攻撃は、多くのユーザーが複数のWebサービスで同じIDとパスワードを使い回している傾向を悪用しています。不正ログインによる個人情報や金銭の詐取を防ぐためには、サービスごとに異なるパスワードを設定することが重要です。

ゼロデイ攻撃

ゼロデイ攻撃とは、OSやアプリケーションに見つかった脆弱性を悪用するサイバー攻撃で、開発元が脆弱性を解消するための修正プログラムやパッチを配布する前に実行されるのが特徴です。

開発元やユーザーにとって未知の脆弱性を突かれるため、根本的な対策を講じることや、攻撃に気づいて速やかに対処することが難しい傾向にあります。ゼロデイ攻撃への対策としては、脆弱性が発見されたソフトウェアの利用を速やかに中止することなどが挙げられます。

フォームジャッキング攻撃

フォームジャッキング攻撃とは、ECサイトなどの注文情報を入力するフォームに悪意のあるスクリプトを埋め込み、個人情報やクレジットカード情報を盗み出すサイバー攻撃です。

フォームから送信した内容が不正に第三者にも送信されてしまう仕組みで、正規のWebサイトやWebサービスに仕掛けられている可能性も十分に考えられます。情報が盗まれている場合でも取引は正常に完了するため、盗まれた情報が悪用されるまで、攻撃を受けたことに気づきにくいという特徴があります。

OSコマンドインジェクション

OSコマンドインジェクションとは、アプリケーションの脆弱性を突いたサイバー攻撃です。攻撃者がアプリケーションの脆弱性を利用して外部から不正なOSコマンドを送信し、ユーザーが想定していない命令文をシステム上で実行させます。これにより、システムのウイルス感染や不正操作、ファイルの改ざんといった被害を受ける可能性があります。

クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS)攻撃とは、攻撃者がWebサイトにスクリプトを仕込んだリンクを用意し、ユーザーにそのリンクを踏ませることで悪意のある別のWebサイトに誘導するサイバー攻撃です。

例えば、偽のログインフォームに誘導されて入力したパスワードが盗まれたり、ユーザーに関する情報が保存されたCookieが盗まれ、SNSアカウントやインターネットバンキングを不正利用されるなどの被害を受ける危険性があります。

インターネット掲示板やECサイトなどで特に発生しやすい攻撃で、正規のWebサイトやWebサービスにクロスサイトスクリプティングが仕掛けられていることもあるため、インターネットを利用する誰もが被害に遭う可能性のあるサイバー攻撃といえます。

サイバー攻撃への対策

メールセキュリティの確認

メールは。攻撃者が組織への侵入を試みる手段として頻繁に使用されています。よく知られている手口として、悪意のあるプログラムを仕込んだファイルを添付したり、悪意のあるWebサイトへ誘導するURLを送りつける手法が挙げられます。

こうした手口への対策として、メールセキュリティの強化が有効です。不審なメールや悪意のある添付ファイルを検知できる可能性があります。また、リスクの高いメールを振り分けたり、受信を拒否したりすることでリスクの軽減につなげられます。

Webブラウザセキュリティの確認

Webブラウザを悪用したサイバー攻撃も少なくありません。例えば、実在する企業のWebサイトと酷似した偽のWebサイトへ誘導する手口や、正規のWebサービスを改ざんしてアカウント情報を窃取する手口などが挙げられます。

こうしたサイバー攻撃に対しては、URLフィルタリングの導入など、Webブラウザセキュリティの強化が効果的です。リスクの高いWebサイトへのアクセスを制限したり、Webサイトを経由したマルウェア感染のリスクを軽減したりすることができます。

マルウェア対策の確認

マルウェア対策も、サイバー攻撃への備えとして非常に重要です。ソフトウェアのインストール時にマルウェアに感染してしまうケースや、USBメモリなどの記憶メデイアを介してマルウェアに感染してしまうケースなどへの対策を講じる必要があります。

マルウェア対策に効果的なのは、ウイルス対策ソフトウェアの導入です。また、USBメモリなどを介したマルウェアへの感染は、記憶メディアの使用制限を講じることでリスクを軽減することが可能です。

そのほか、ソフトウェアの脆弱性を放置せず、更新プログラムを速やかに適用することも大切です。OSやアプリケーションを最新バージョンに保つことは、あらゆるサイバー攻撃への基本的な備えとして欠かせません。

サイバー攻撃への備えなら「SKYSEA Client View」

クライアント運用管理ソフトウェア「SKYSEA Client View」は、PCやソフトウェアといったIT資産の情報、PCの操作ログを収集・一元管理できる機能を搭載し、組織の情報漏洩対策や安全なIT資産管理をご支援します。

サイバー攻撃の標的となる脆弱性情報を効率的に取得し、セキュリティパッチの適用などをサポートするほか、組織内のPCで利用されているOSやソフトウェアの最新バージョンへのアップデート状況をグラフで可視化するなど、IT環境を常に最新の状態に維持できているか確認することが可能です。

また、業務と関係ないアプリケーションの使用やWebサイトの閲覧、USBデバイスの使用を制限する機能も搭載。加えて、万が一脅威が組織に侵入した場合への備えとして、末端のIT機器を強固に守るエンドポイントセキュリティの強化をサポートするなど、階層的な防御を通じてリスクを軽減します。

オンプレミス版とクラウド版をご用意しており、管理するPCの台数やワークスタイルなど、利用環境やニーズに応じていずれかをお選びいただけます。情報漏洩対策とIT資産管理の効率化に向けて、ぜひ「SKYSEA Client View」の導入をご検討ください。